Linux系统日志管理

学习目标：

经过本实验掌握centos7/rhel7下journalctl和rsyslog日志工具的使用，创建经过查看日志分析排错的思路，以及日志内容的查找，分类重定向的使用。

 

实验步骤：

一、不配置本机IP地址，但试着启动DHCP服务，会报错

二、运行journalctl工具，从日志中查找服务报错的缘由

三、将特定时间的日志，好比10:30到11:50之间，写入systeminfo.txt文件

四、将特定类别的日志，好比动做为用户登录的信息，级别为警告以上的信息经过rsyslog工具写入/var/log/auth-errors

 

参考命令：

 

一、经过journalctl查看日志进行排错

 

 

 提示启动服务失败，经过journalctl查看细节

 

 

搜索和dhcp有关的信息

 

能够看到由于本机网卡没有配置ip地址，因此dhcp服务启动失败

也能够用系统建议的journalctl -xe直接查看最新日志，参数e为日志尾部，参数x为附带日志信息的解释说明（若是有的话）

 

 二、将特定时间段的系统日志重定向到文件

 

journalctl --since 10:30:00  --until 11:50:00  > /home/server/systeminfo.txt

 

上面是一整条命令，无回车。

实验时若是这段时间服务器未开启，可更换其余时间测试。

 

 

三、将特定类别的日志重定向到文件

 

本操做使用rsyslog工具

第一步：

 

[root@localhost rsyslog.d]# echo "authpriv.alert /var/log/auth-errors" >/etc/rsyslog.d/auth-errors.conf

 

[root@localhost ~]# systemctl restart rsyslog

 

含义：

编辑rsyslog工具的配置文件auth-errors.conf，将authpriv（登录验证日志，如ssh，ftp登录信息），和alert（警告信息，出现故障需当即处理）两种日志发送到/var/log/auth-errors文件。

 

日志类型和警告级别以下，这里用到的类型为authpriv，级别为alert      

 

日志类型

auth        –pam产生的日志
authpriv    –ssh,ftp等登陆信息的验证信息
cron        –时间任务相关
kern        –内核
lpr         –打印
mail        –邮件
mark(syslog)–rsyslog服务内部的信息,时间标识
news        –新闻组
user        –用户程序产生的相关信息
uucp        –unix to unix copy, unix主机之间相关的通信
local 1~7   –自定义的日志设备
日志级别:
———————————————————————-
debug       –有调式信息的，日志信息最多
info        –通常信息的日志，最经常使用
notice      –最具备重要性的普通条件的信息
warning     –警告级别
err         –错误级别，阻止某个功能或者模块不能正常工做的信息
crit        –严重级别，阻止整个系统或者整个软件不能正常工做的信息
alert       –须要马上修改的信息
emerg       –内核崩溃等严重信息
none        –什么都不记录

 

 

第二步

 

[root@localhost ~]# logger -p authpriv.alert "test111"

 

含义：logger为手动添加系统日志，-p为设置这条日志的类型和级别，后续是日志的内容

 

tail –f ，观察日志是否同步发到指定文件。-f参数为实时更新，文件有变化当即显示在屏幕